utilização de cartões inteligentes em aplicações móveis
Post on 28-May-2015
222 Views
Preview:
DESCRIPTION
TRANSCRIPT
Utilização de cartões inteligentes em
aplicações móveis
Algoritmos e Aplicações de Segurança
Miguel Pardal (M5329 – mflpar@mega.ist.utl.pt)
16 de Dezembro de 2003
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
2
Sumário
I. Tecnologias de cartões
II. O cartão SIM na rede GSM
III. Piloto de comércio móvel
IV. Conclusões
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
3
I. Tecnologias de Cartões• Cartão:
– A maior parte das pessoas conhece e sabe utilizar– Contém identidade, acesso a serviços, outra informação…
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
4
Cartões magnéticos
• Banda magnética contém (pouca) informação• Muito baratos• Tipo de cartão mais usado, especialmente na
Banca• Guardam PIN cifrado• Validação on-line por dispositivo ligado a rede• Não há controlo de leitura e escrita na banda
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
5
Cartões inteligentes
• Smart Cards
• Permitem controlo de leitura e escrita
• Relação custo-benefício começa a torná-los mais atractivos:– American Express Blue– Smart VISA Card– Lisboa Viva
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
6
Arquitectura de cartões inteligentes
• Único chip• Microprocessador
– 8/16 bit
– 1-5 MHz
– Intel, Motorola, Hitachi
• Capacidade equivalente a um PC 1980s
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
7
Memórias de um cartão
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
8
Sistema operativo
• Card mask – gravado na ROM
• Sistema de ficheiros hierárquico– Ficheiros– Directórios
• Entradas/Saídas– Contactos– Sem contactos
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
9
Segurança de cartões inteligentes
• Mecanismos físicos– Escuta analógica
– Geração de faltas
– Apagamento parcial de memória
– Extracção do chip
– Microscopia electrónica e micro sonda
• Mecanismos lógicos– PIN
– ACL Ficheiros
– Cifras• Simétricas
• Assimétricas (pouco usadas por limitações computacionais)
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
10
Ataque invasivo ao cartão
• Banho ácido• Plataforma de teste e análise• Inspecção do circuito físico
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
11
Cartões - síntese
• Computadores “completos”
• São seguros e resistentes à manipulação…– mas não são invulneráveis:
• Ataques físicos
• Vulnerabilidades dos algoritmos criptográficos
• Engenharia social
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
12
II. O cartão SIM na rede GSM
• Durante alguns anos, os cartões inteligentes foram solução à procura de problema
• Principal utilização actual
• Rede móvel GSM– Roaming
• Problema de confiança nas redes intermediárias
• Para onde transferir a confiança?
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
13
Rede móvel GSM
• Transmissão rádio (900MHz)• Células de estações base
– Reutilização de frequências
• Voz• SMS
– Mensagens curtas– Transmissão assíncrona com garantias
• GPRS – transmissão de datagramas
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
14
Autenticação GSM
• Cartão tem chave Ki partilhada com a rede• Desafio-resposta• A3 – Autenticação, A8 – Chave Sessão, A5 – Cifra contínua
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
15
Cartão SIM• Subscriber Identity Module• Identifica o utilizador perante a rede de origem e
outras redes– De forma segura e consistente
• Resistente a manipulação• Pode negociar chaves de sessão• Liberta o telefone de aspectos de subscrição de
serviço e de segurança– Facilita a troca de telefone
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
16
Plataforma para aplicações confiadas
• SIM + SMS– SIM – maior infra-estrutura de chaves não
governamental
– SMS – único meio de comunicação de dados universal na rede GSM
• Possibilita confiança nas transacções:– Autenticação e não repúdio
– Integridade
– Confidencialidade
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
17
Modelos de aplicações• Máquina virtual
– Byte-codes são instruções
– Linguagens procedimentais
– Principais:• JavaCard• Microsoft
• Micro-navegação– Byte-codes são
páginas– Linguagens
declarativas– Interpretadas por
Micro-browser
Comparação: funcionalidade, administração
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
18
III. Piloto de comércio móvel
• Smart Signatures for Secure Mobile Commerce– Ergonomia– Segurança
• Utilização de criptografia assimétrica– Chaves RSA– Certificação de chaves públicas
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
19
Principais funcionalidades
• Mensagens cifradas extremo-a-extremo• Mensagens assinadas digitalmente• Certificados digitais X.509
– Autoridades de certificação externas à rede móvel
– Formato compacto - Mcert
• Separação entre:– Chave para assinatura
– Chave para confidencialidade
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
20
Participantes no sistema
• Cliente – utilizador final• Fornecedor de serviço – presta o serviço• Operador móvel
– Infra-estrutura de comunicações móveis– Contrato e relação de cobrança com o cliente
• Autoridade de certificação• Fabricante de cartões
– SIM com coprocessador aritmético
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
21
Exemplo de utilização
* <service>
messages
fill-in forms
service options
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
22
Certificação e confiança• Domínios de certificação:
– Card domain (CD)• Dentro da rede móvel• Para garantir a
fiabilidade nos pedidos de certificados durante a utilização
– Root Domain (RD)• Fora da rede móvel• Acima dos vários CD
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
23
Gestão da vida das chaves
• Chaves distintas para cifra e para assinatura• No piloto não foi implementada a revogação
– Consulta de listas de certificados revogados
• Certificado válido até ao fim do prazo estipulado na sua criação
• Opção considerada aceitável porque:– Valor binário enclausurado no cartão– Utilização exige PIN de assinatura– Mas, e se a chave for comprometida?
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
24
Avaliação do piloto de comércio móvel
• Uso de criptografia assimétrica implica:– Autoridade de certificação para as chaves públicas
• Custos administrativos
– Substituição de cartões• Não é compensada por um único serviço
• Os utilizadores finais não percepcionam automaticamente o valor acrescentado da assinatura digital
• A ergonomia do serviço é o factor decisivo para o sucesso, mas sem comprometer a segurança
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
25
IV. Conclusões
• Cartão inteligente– Armazenamento seguro– Capacidade de processamento– Seguro mas não invulnerável– Principal aplicação: SIM– Base de uma plataforma de aplicações
confiadas nas redes móveis
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
26
Conclusões (2)
• Operador móvel– Habituado a controlar e cobrar o acesso a todos os
recursos e serviços da sua rede– O WAP permitiu-lhe perceber que a única coisa que
realmente controla é o SIM
• Motivação para serviços de valor acrescentado:– Declínio de preço da voz– Aumento de custos de evolução e manutenção da rede– Maior margem de lucro
• cobra-se o serviço e não o transporte de dados
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
27
Conclusões (3)• Requisitos a conciliar:
1) Serviços populares e acessíveis pela maioria dos clientes2) Alto desempenho e segurança na utilização3) Modelo de negócio com nível de preços que motive
parceiros de serviços e de conteúdos, bem como os clientes
• Benefícios esperados:– Valores imediatos
• Cobrança de mensagens aplicacionais
– Valores a longo prazo• Lealdade dos clientes, parcerias de negócios
2003-12-06 AAS - Utilização de cartões inteligentes em aplicações móveis
28
Perguntas e respostas
“Just like television was not radio with image, mobile will not be the Internet on a phone”
Scott Guthery
Obrigado pela atenção. Mais informação brevemente em:http://mega.ist.utl.pt/~mflparhttp://mega.ist.utl.pt/~mflpar
top related